|
5 / 5 / 1
Регистрация: 10.02.2020
Сообщений: 36
|
|
| 1 | |
Поведение системы W10 (Аудит успеха) 4672 и 462402.01.2023, 18:00. Показов 1830. Ответов 7
Пользователь один с паролем. Система W10. Нашел события, посмотрев в интернете, не смог разобраться. Просмотр событий - Журналы Windows - Безопасность 4672 Special Logon Кликните здесь для просмотра всего текста
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2023-01-02T14:24:20.3796450Z" /> <EventRecordID>43493</EventRecordID> <Correlation ActivityID="{6ac64a46-1ea4-0003-654a-c66aa41ed901}" /> <Execution ProcessID="856" ThreadID="10768" /> <Channel>Security</Channel> <Computer>DESKTOP-ThinkPad-X270</Computer> <Security /> </System> - <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">СИСТЕМА</Data> <Data Name="SubjectDomainName">NT AUTHORITY</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege</Data> </EventData> </Event> 4624 Logon Кликните здесь для просмотра всего текста
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4624</EventID> <Version>2</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2023-01-02T14:24:20.3796366Z" /> <EventRecordID>43492</EventRecordID> <Correlation ActivityID="{6ac64a46-1ea4-0003-654a-c66aa41ed901}" /> <Execution ProcessID="856" ThreadID="10768" /> <Channel>Security</Channel> <Computer>DESKTOP-ThinkPad-X270</Computer> <Security /> </System> - <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">DESKTOP-THINKPA$</Data> <Data Name="SubjectDomainName">GROOT</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="TargetUserSid">S-1-5-18</Data> <Data Name="TargetUserName">СИСТЕМА</Data> <Data Name="TargetDomainName">NT AUTHORITY</Data> <Data Name="TargetLogonId">0x3e7</Data> <Data Name="LogonType">5</Data> <Data Name="LogonProcessName">Advapi</Data> <Data Name="AuthenticationPackageName">Negotiate</Data> <Data Name="WorkstationName">-</Data> <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x350</Data> <Data Name="ProcessName">C:\Windows\System32\services.exe</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> <Data Name="ImpersonationLevel">%%1833</Data> <Data Name="RestrictedAdminMode">-</Data> <Data Name="TargetOutboundUserName">-</Data> <Data Name="TargetOutboundDomainName">-</Data> <Data Name="VirtualAccount">%%1843</Data> <Data Name="TargetLinkedLogonId">0x0</Data> <Data Name="ElevatedToken">%%1842</Data> </EventData> </Event> Насчитал 24 раза Special Logon и Logon за последний час, само мерцающее окно, заметил пару раз. Спасибо за помощь!
0
|
|
(| 02.01.2023, 18:00 | |
|
Ответы с готовыми решениями:
7
Аудит бездействия системы
Вероятность успеха в каждом из n испытаний Бернулли равна p. Величина X - частота успеха в серии из n испытаний. Найдите M(X),D(X),σ(x) |
|
37 / 63 / 9
Регистрация: 06.05.2022
Сообщений: 729
|
|
| 09.01.2023, 16:40 | 3 |
|
Конфигурации системы и прочее.. Тут же не экстрасенсы на расстоянии не могут видить...Замусорен реестр может быть. А мерцание смотри настройки видео. Если же будут артефакты полосы горинзонтальные и вертикальные то это видеокарта...
0
|
|
 |
|
| 10.01.2023, 02:59 | 5 |
Сообщение от Evzen_mhd
информации о проблеме нет. ну привели вы два события - первое по процессу с идентификатором 856 (в следующую загрузку системы он будет другой), второе по системному процессу services.exe (что видимо и есть 856 идентификатор). services.exe это процесс по распределению сервисов, и глючить он не может от слова совсем. но он запускает какой-то сервис, видимо встроенный в ваш ноутбук поставщиком Lenovo. удаляйте всё предустановленное ПО и смотрите результат.
0
|
|
|
5 / 5 / 1
Регистрация: 10.02.2020
Сообщений: 36
|
|
| 10.01.2023, 18:21 [ТС] | 6 |
|
_lunar_, Спасибо за ответ! Тогда, подскажите, пожалуйста, где я могу посмотреть все события или процессы по времени от момент входа в систему? Может, команда какая есть или где-то еще можно посмотреть. Когда окно мелькнет, я запомню время и посмотрю что это было. Спасибо
0
|
|
|
|
|
| 10.01.2023, 22:51 | 7 |
 Сообщение было отмечено Evzen_mhd как решение
Решение
Evzen_mhd, у Руссиновича есть много всяких программ.
Вроде называется System Monitor, записывает всё что происходит во всех запущенных процессах. Комплекс этих программ называется System Internal, есть в MS Store
1
|
|
|
|
|
| 11.01.2023, 09:42 | 8 |
Сообщение было отмечено Evzen_mhd как решение
Решение
Сообщение от _lunar_
и сам комплекс Sysinternals Suite https://learn.microsoft.com/ru... nals-suite
1
|
|
| 11.01.2023, 09:42 | |
| 11.01.2023, 09:42 | |
|
Помогаю со студенческими работами здесь
8
Аудит отказа файловой системы (нет событий) AddAddress to AddressBook и ошибка Run-time error '4672' Большое количество event id 4624 и 4634 для одного пользователя
спрогнозировать поведение системы Странное поведение системы Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
